Ciberseguridad: PCIDSS v3.2.1, cumpliendo la normativa en la gestión de información bancaria

La información bancaria siempre ha sido considerada especialmente sensible por todo lo que conlleva una pérdida o robo para el propio cliente y para la empresa que la gestiona. En el comercio electrónico es una información sensible y en la que hay que velar por su seguridad a través de una pasarela de pago que debe cumplir la normativa PCIDSS v3.2.1.

Para ofrecer un entorno seguro a los clientes, al mismo tiempo que se genera confianza, en 2006 grandes compañías como Visa, Mastercard o American Express crearon el Consejo de Normas de Seguridad para la Industria de las Tarjetas de Pago (PCI SSC). Dicho consejo fue creado bajo la premisa de administrar y gestionar las normas de seguridad de las empresas que manejan datos de tarjetas de crédito. El objetivo final era adoptar una política estándar para garantizar un nivel básico de protección a los consumidores y entidades bancarias en la era de Internet y el comercio online.

Llevar a cabo una correcta gestión de los datos bancarios de los clientes por parte de las webs dedicadas al eCommerce es una parte importante, ya que este tipo de información es especialmente sensible. Ya sea por medio de una pasarela de pago propia o por una facilitada por un tercero esta debe cumplir la normativa PCIDSS v3.2.1. El cumplimiento de dicha normativa aumentará la seguridad de cualquier operación o transacción en la que se gestione información relacionada con tarjetas bancarias.

Niveles para el cumplimiento de la norma

El primer paso para cumplir con la normativa PCIDSS es conocer los requisitos que aplican a cada empresa. Hay cuatro niveles diferentes de cumplimiento.

  • El primero es el más complejo y, por lo general, se basa en el volumen de transacciones con tarjeta que procese la tienda en un periodo anual. El  nivel 1 es el más complejo y no ofrece la posibilidad de utilizar un cuestionario de autoevaluación además de requerir los servicios de un evaluador de seguridad cualificado (QSA).

Para los niveles 2, 3 y 4 se facilita un cuestionario de autoevaluación (SAQ) en función del método de integración de pagos utilizado. Los diferentes apartados que ofrece esa autoevaluación aplicables a los tres niveles inferiores para los eCommerce son: A, A-EP y D.

  • El primer caso A afecta a comercios que externalizan completamente las transacciones a intermediarios financieros, ya que los comercios no gestionan ningún tipo de información de las tarjetas.
  • El caso A-EP afecta a los comercios electrónicos que externalizan el proceso de pago a intermediarios financieros, pero que tienen sitios web donde, a pesar de no recibir datos de titulares, pueden impactar en la seguridad de la transacción.
  • Por último se encuentra el supuesto D, que afecta a las tiendas online que sí almacenen, transmiten o procesen datos de titulares de tarjetas en sus instalaciones.

En los supuestos A y A-EP la tienda no tiene que tomar medidas especiales para salvaguardar la seguridad de la información bancaria de sus clientes, ya que estas no gestionan datos de tarjetas de crédito en sus sistemas. Pero en el supuesto D, si la tienda cuenta con un método de pago propio que gestiona datos de tarjetas de crédito en sus sistemas, deberá cumplir con la normativa PCIDSS. Cumplir esta normativa puede resultar laborioso, ya que en su versión más compleja cuenta con más de 300 controles a seguir, por esa razón y siempre que el modelo de negocio lo permita, es recomendable contratar un proveedor que ofrezca una pasarela de pago segura que cumpla dicha normativa.

La normativa PCIDSS no especifica ningún tipo de sanción por incumplimiento, aunque las entidades emisoras de las tarjetas y las entidades bancarias sí que podrían aplicar sanciones. Además, cabe destacar que la pérdida o robo de datos bancarios de los clientes de la tienda, perjudicará gravemente la reputación del comercio pudiendo aplicarse también sanciones por incumplimiento de la normativa que regula protección de datos personales.

Las pasarelas de pago ofrecidas tanto por entidades bancarias como por otras entidades intermediadoras, como PayPal o Stripe, podrían ser una buena opción para la gran mayoría de eCommerce. Estas pasarelas de pago ofrecen entornos seguros acordes a la normativa PCIDSS, donde la tienda online se podrá despreocupar de la gestión de los datos bancarios. Asimismo, en muchos casos ofrecen diferentes opciones de personalización e integración en las principales plataformas de comercio electrónico, adaptándose así a las necesidades de cada comerciante.

La copia de seguridad que necesitas para tus dispositivos, tus proyectos y tus datos
Accede a tus archivos desde cualquier dispositivo y lugar de forma segura
pack
10 GB
GRATIS
Consigue tu backup ahora